Beginilah cara Anda menambahkan parameter ke pernyataan.
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
Lihat MySQLCursor.execute()
.
Dalam contoh ini Anda tidak perlu mengutip nilai secara eksplisit karena Anda tidak menempelkannya ke SQL Anda. Selain itu, ini lebih aman, karena jika string berisi kutipan akhir dan beberapa SQL berbahaya, string tersebut tidak akan dieksekusi.
Anda tidak dapat menambahkan nama tabel sebagai parameter, jadi jika itu ada dalam variabel Anda akan harus merekatkan itu ke SQL Anda:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)
